{"id":23694,"date":"2026-03-11T14:26:28","date_gmt":"2026-03-11T12:26:28","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23694"},"modified":"2026-03-11T14:26:28","modified_gmt":"2026-03-11T12:26:28","slug":"ktae-onprem-ida-pro-plugin","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ktae-onprem-ida-pro-plugin\/23694\/","title":{"rendered":"Attribution des programmes malveillants sans cloud"},"content":{"rendered":"

Dans un article pr\u00e9c\u00e9dent<\/a>, nous avons pr\u00e9sent\u00e9 un exemple concret de l\u2019utilit\u00e9 de l\u2019attribution des menaces dans les enqu\u00eates sur les incidents. Nous avons \u00e9galement pr\u00e9sent\u00e9 Kaspersky Threat Attribution Engine (KTAE), notre outil permettant de deviner \u00e0 quel groupe APT en particulier appartient un \u00e9chantillon de programme malveillant. Pour le d\u00e9montrer, nous avons utilis\u00e9 Kaspersky Threat Intelligence Portal<\/a>, un outil disponible dans le cloud qui donne acc\u00e8s \u00e0 KTAE dans le cadre de notre service complet d\u2019analyse des menaces, en plus d\u2019une sandbox et d\u2019un outil de recherche de similitudes non attribuables. Les avantages d\u2019un service cloud sont \u00e9vidents : les clients n\u2019ont pas besoin d\u2019investir dans du mat\u00e9riel, d\u2019installer quoi que ce soit, ni de g\u00e9rer un quelconque logiciel. Cependant, comme le montre la r\u00e9alit\u00e9, la version \u00ab\u00a0cloud\u00a0\u00bb d\u2019un outil d\u2019attribution ne convient pas \u00e0 tout le monde\u2026<\/p>\n

Tout d\u2019abord, certaines organisations sont soumises \u00e0 des restrictions r\u00e9glementaires qui interdisent strictement \u00e0 toute donn\u00e9e de quitter leur p\u00e9rim\u00e8tre interne. Pour les analystes de s\u00e9curit\u00e9 de ces entreprises, il est hors de question de charger des fichiers sur un service tiers. D\u2019autre part, certaines entreprises font appel \u00e0 des sp\u00e9cialistes de la recherche sur les menaces qui ont besoin d\u2019une bo\u00eete \u00e0 outils plus souple, leur permettant de mener leurs propres recherches parall\u00e8lement \u00e0 la Threat Intelligence de Kaspersky. C\u2019est pourquoi KTAE est disponible en deux versions\u00a0: une version bas\u00e9e sur le cloud et une autre d\u00e9ploy\u00e9e sur site.<\/p>\n

Quels sont les avantages de la version sur site de KTAE par rapport \u00e0 sa version dans le cloud\u00a0?<\/h2>\n

Tout d\u2019abord, la version locale de KTAE garantit la confidentialit\u00e9 totale des enqu\u00eates. L\u2019ensemble de l\u2019analyse s\u2019effectue au sein m\u00eame du r\u00e9seau interne de l\u2019organisation. La source de Threat Intelligence est une base de donn\u00e9es d\u00e9ploy\u00e9e \u00e0 l\u2019int\u00e9rieur du p\u00e9rim\u00e8tre de l\u2019entreprise. Elle contient les indicateurs uniques et les donn\u00e9es d\u2019attribution de chaque \u00e9chantillon malveillant identifi\u00e9 par nos experts, ainsi que les caract\u00e9ristiques des fichiers l\u00e9gitimes afin d\u2019exclure toute d\u00e9tection de faux positifs. La base de donn\u00e9es est r\u00e9guli\u00e8rement mise \u00e0 jour, mais elle fonctionne \u00e0 sens unique\u00a0: aucune information ne quitte jamais le r\u00e9seau du client.<\/p>\n

\"\"<\/a><\/p>\n

En outre, la version sur site de KTAE permet aux experts d\u2019ajouter de nouveaux groupes de menaces \u00e0 la base de donn\u00e9es et de les corr\u00e9ler \u00e0 des \u00e9chantillons de programmes malveillants qu\u2019ils ont eux-m\u00eames d\u00e9couverts. Cela signifie que l\u2019attribution ult\u00e9rieure de nouveaux fichiers tiendra compte des donn\u00e9es ajout\u00e9es par les chercheurs internes. Les experts peuvent ainsi cataloguer leurs propres groupes de programmes malveillants, les \u00e9tudier et identifier les similitudes.<\/p>\n

Voici un autre outil d\u2019expert pratique\u00a0: notre \u00e9quipe a d\u00e9velopp\u00e9 un plug-in gratuit pour IDA Pro<\/a>, un d\u00e9sassembleur populaire, \u00e0 utiliser avec la version locale de KTAE.<\/p>\n

<\/a>\u00c0 quoi sert un plug-in d\u2019attribution pour un d\u00e9sassembleur\u00a0?<\/h2>\n

Pour un analyste SOC charg\u00e9 du triage des alertes, l\u2019attribution d\u2019un fichier malveillant trouv\u00e9 dans l\u2019infrastructure est simple\u00a0: il suffit de le charger dans KTAE (version cloud ou sur site) et d\u2019obtenir un verdict, par exemple Manuscrypt (83\u00a0%)<\/em>. Cette information est suffisante pour prendre des pr\u00e9cautions ad\u00e9quates contre les outils connus du groupe en question et pour \u00e9valuer la situation dans son ensemble. Un sp\u00e9cialiste de la recherche sur les menaces, toutefois, pourrait ne pas se contenter d\u2019un tel verdict. Il pourrait aussi se demander : \u00ab\u00a0Quels fragments de code sont uniques dans tous les \u00e9chantillons de programmes malveillants utilis\u00e9s par ce groupe ?\u00a0\u00bb C\u2019est l\u00e0 qu\u2019un plug-in d\u2019attribution pour d\u00e9sassembleur s\u2019av\u00e8re utile.<\/p>\n

\"\"<\/a><\/p>\n

Dans l\u2019interface d\u2019IDA Pro, le plug-in met en \u00e9vidence les fragments de code d\u00e9sassembl\u00e9s sp\u00e9cifiques qui ont d\u00e9clench\u00e9 l\u2019algorithme d\u2019attribution. Cette solution permet non seulement aux experts de se pencher sur les nouveaux \u00e9chantillons de programmes malveillants, mais aussi aux chercheurs d\u2019affiner les r\u00e8gles d\u2019attribution au fur et \u00e0 mesure. Par cons\u00e9quent, l\u2019algorithme et l\u2019outil KTAE lui-m\u00eame ne cessent d\u2019\u00e9voluer, ce qui rend l\u2019attribution toujours plus pr\u00e9cise.<\/p>\n

<\/a>Comment configurer le plug-in\u00a0?<\/h2>\n

Le plug-in est un script \u00e9crit en Python. Pour le faire fonctionner, vous avez besoin du plug-in IDA Pro. Malheureusement, il ne fonctionnera pas dans le plug-in IDA Free, car celui-ci ne prend pas en charge les scripts Python. Si vous n\u2019avez pas encore install\u00e9 Python, vous devrez le faire, configurer les d\u00e9pendances (consultez le fichier des d\u00e9pendances dans notre d\u00e9p\u00f4t GitHub<\/a>), et vous assurer que les variables d\u2019environnement d\u2019IDA Pro pointent vers les biblioth\u00e8ques Python.<\/p>\n

Ensuite, vous devrez ins\u00e9rer l\u2019URL de votre instance locale de KTAE dans le corps du script et fournir votre jeton d\u2019API (qui est disponible moyennant paiement), comme dans l\u2019exemple de script d\u00e9crit dans la documentation du plug-in KTAE<\/a>.<\/p>\n

Il vous suffit ensuite de d\u00e9poser le script dans le dossier de votre plug-in IDA Pro et de lancer le d\u00e9sassembleur. Si la proc\u00e9dure s\u2019est d\u00e9roul\u00e9e correctement, apr\u00e8s avoir charg\u00e9 et d\u00e9sassembl\u00e9 un \u00e9chantillon, vous verrez une option permettant de lancer le plug-in Kaspersky Threat Attribution Engine (KTAE)<\/em> sous Modifier<\/em> \u2192 Plug-ins<\/em>\u00a0:<\/p>\n

\"\"<\/a><\/p>\n

<\/a>Comment utiliser le plug-in\u00a0?<\/h2>\n

Lorsque le plug-in est install\u00e9, voici ce qui se produit en arri\u00e8re-plan\u00a0: le fichier charg\u00e9 dans IDA Pro est envoy\u00e9 via l\u2019API au service KTAE install\u00e9 localement, \u00e0 l\u2019URL configur\u00e9e dans le script. Le service analyse le fichier, et les r\u00e9sultats de l\u2019analyse sont renvoy\u00e9s directement dans IDA Pro.<\/p>\n

Sur un r\u00e9seau local, le script accomplit g\u00e9n\u00e9ralement sa t\u00e2che en quelques secondes (la dur\u00e9e d\u00e9pend de la connexion au serveur KTAE et de la taille du fichier analys\u00e9). Une fois que le plug-in termine son travail, un chercheur peut se lancer dans l\u2019exploration des fragments de code mis en \u00e9vidence. Un double-clic permet d\u2019acc\u00e9der directement \u00e0 la section concern\u00e9e du code assembleur ou du code binaire (vue hexad\u00e9cimale) pour analyse. Ces points de donn\u00e9es suppl\u00e9mentaires permettent de rep\u00e9rer facilement les blocs de code partag\u00e9s et de suivre les modifications apport\u00e9es \u00e0 la bo\u00eete \u00e0 outils d\u2019un programme malveillant.<\/p>\n

D\u2019ailleurs, ce n\u2019est pas le seul plug-in IDA Pro que l\u2019\u00e9quipe GReAT a cr\u00e9\u00e9 pour simplifier la vie des chercheurs de menaces. Nous proposons \u00e9galement un autre plug-in IDA qui acc\u00e9l\u00e8re et simplifie consid\u00e9rablement le processus de r\u00e9tro-ing\u00e9nierie et qui, d\u2019ailleurs, a \u00e9t\u00e9 laur\u00e9at du concours de plug-ins IDA 2024. <\/div>\n

Pour en savoir plus sur Kaspersky Threat Attribution Engine et sur son d\u00e9ploiement, consultez la documentation officielle du produit<\/a>. Enfin, pour organiser une d\u00e9monstration ou un projet pilote, veuillez remplir le formulaire sur le site de Kaspersky<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

\u00c0 quoi sert une version locale du moteur d’attribution des menaces de Kaspersky et comment la connecter au plug-in IDA Pro ?<\/p>\n","protected":false},"author":2792,"featured_media":23699,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[28,1608,4027],"class_list":{"0":"post-23694","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-attaques","10":"tag-services","11":"tag-threat-intelligence"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ktae-onprem-ida-pro-plugin\/23694\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ktae-onprem-ida-pro-plugin\/30234\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/25311\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/13251\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ktae-onprem-ida-pro-plugin\/30107\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ktae-onprem-ida-pro-plugin\/31905\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ktae-onprem-ida-pro-plugin\/30515\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ktae-onprem-ida-pro-plugin\/41387\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ktae-onprem-ida-pro-plugin\/14350\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/55350\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ktae-onprem-ida-pro-plugin\/33302\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ktae-onprem-ida-pro-plugin\/30346\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ktae-onprem-ida-pro-plugin\/35991\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ktae-onprem-ida-pro-plugin\/35648\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/threat-intelligence\/","name":"threat intelligence"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23694","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2792"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23694"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23694\/revisions"}],"predecessor-version":[{"id":23701,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23694\/revisions\/23701"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23699"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23694"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23694"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23694"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}